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(54) Procede de personnalisation d'une carte a puce 



(57) Pour permettre la personnalisation d'une carte 
a puce par un utilisateur quelconque, on prevoit de mu- 
nir le systeme d'exploitation de la carte d'un micropro- 
gramme (1 9 - 23) qui est lance une seule fois et qui con- 
siste a editer (24), notamment sur I'ecran d'un lecteur, 
un code secret d'acces a une fonction de personnalisa- 



tion de la carte a puce. Cette edition n'est effectuee 
qu'une fois, lors de la premiere utilisation, notamment 
lors de la premiere utilisation (19) en personnalisation 
de la carte a puce. On montre qu'en agissant ainsi, on 
simplifie grandement les systemes de communication 
aux prestataires des codes secrets de personnalisation 
utilisables avec des cartes a puce vierges. 
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Description 

[0001] La presente invention a pour objet un procede 
de personnalisation d'une carte a puce qui est destine 
a etre mis en oeuvre par une personne quelconque. Le 
but de I'invention est ainsi de favoriser la diffusion des 
cartes a puce en facilitant la prog ram mat ion, notam- 
ment dans le cadre d'applications multiples, du type Ja- 
va Card par exemple. 

[0002] On connait dans le domaine de la carte a puce 
les fabricants de cartes a puce, les prestataires de ser- 
vices ou vendeurs de biens, et les utilisateurs. Un fabri- 
cant de cartes a puce, typiquement, realise ou fait rea- 
liser un circuit integre comportant un microprocesseur, 
un ensemble de memoires a acces aleatoire program- 
mables et/ou non programmables, et une interface de 
sortie en liaison avec un connecteur, voire un circuit de 
transmission hertzienne. Le fabricant est encore gene- 
ralement responsable de la mise en place du module 
electronique ainsi constitue dans une carte a puce ou 
plus generalement dans un support a puce. 
[0003] Quand on utilisera le terme carte a puce dans 
la suite de cet expose, il faudra comprendre support a 
puce, ce dernier pouvant avoir toutes les formes 
requises : la forme standard d'une carte, la forme du je- 
ton normalise utilisable dans les telephones de type 
GSM, une cle a puce utilisable dans un decodeur de 
television, voire celle d'une bague, etc.... 
[0004] Dans une memoire non volatile du circuit inte- 
gre, le fabricant installe parailleurs un systeme d'exploi- 
tation de ce circuit integre. Ce systeme d'exploitation est 
susceptible de gerer I'acces aux memoires, a I'interface 
de communication et aux peripheriques (horloge, comp- 
teur...) du microprocesseur. II est aussi capable de con- 
troler I'execution de certaines operations essentielles. 
En general, pour des raisons de securite, le systeme 
d'exploitation est ainsi capable d'effectuer, en interne, 
une comparaison d'un code secret presente sur I'inter- 
face avec un code secret memorise dans une memoire 
secrete. En particulier seul le microprocesseur peut ac- 
ceder a cette memoire secrete, sans possibility d'editer 
ce code secret sur un bus externe du circuit integre. La 
verification, en cas de succes, autorise la continuation 
de la procedure. 

[0005] Le systeme d'exploitation possede aussi une 
fonction de supervision par laquelle il permet a un utili- 
sateur de modifier le contenu de certaines memoires, 
notamment d'une memoire programme en vue d'y ins- 
crire des instructions d'un programme, d'une application 
ou des parametres d'utilisation de ce programme, no- 
tamment des limites d'utilisation d'une memoire de don- 
nees devolues a cette application. 
[0006] Le fabricant de cartes a puce transmet ensuite 
les cartes a puce a un prestataire de services par exem- 
ple une banque (ou a un vendeur de biens). Dans la 
suite de cet expose prestataire signifie tout organisme 
qui gere des transactions. Le prestataire effectue la per- 
sonnalisation de la carte en y enregistrant des program- 



mes specifiques a sa prestation de services. Ainsi, ces 
programmes peuvent comporter, dans le cas d'une ap- 
plication pour une banque, des programmes permettant 
le retrait d'argent a un distributeur automatique de billets 

5 de banque, la visualisation d'un compte en banque cor- 
respondant a la carte, remission de virements bancai- 
res, et ainsi de suite. En outre, les programmes de Tap- 
plication du prestataire comportent generalement un 
programme de securisation propre a ce prestataire. 

10 Pour effectuer cette personnalisation, le prestataire doit 
avoir acces a la fonction de supervision. 
[0007] Bien entendu, il n'est pas question que les pos- 
sibility offertes aux prestataires de modifier le contenu 
de la carte, soient ulterieurement offertes a I'utilisateur 

15 de la carte. Si c'etait le cas, on pourrait imaginer que cet 
utilisateur, particulierement habile, falsifierait les pro- 
grammes du prestataire au point de se faire octroyer des 
avantages indus. Pour empecher de tels agissements, 
un mecanisme double a ete mis en place. 

20 [0008] Dans une premiere phase, le mecanisme de 
personnalisation necessite I'indication, par le prestatai- 
re, d'un code specifique d'acces a la personnalisation. 
En cas de succes de la presentation de ce code speci- 
fique de personnalisation, le prestataire a acces a des 

25 fonctions debridees du systeme d'exploitation et peut 
alors organiser en consequence la memoire program- 
me et la memoire de donnees, pour des parties appli- 
catives bien entendu. 

[0009] Dans une deuxieme phase, lorsque le presta- 
30 taire a termine les operations de personnalisation de la 
carte, il peut verrouiller I'acces a cette fonction de per- 
sonnalisation. En general, le verrouillage est detype ir- 
reversible. II comporte par exemple le brulage d'un fu- 
sible ou le basculement dans un etat irreversible d'une 
55 bascule electronique comportant des cellules de me- 
moire non volatiles ecrites dans un etat (programme ou 
efface) alors qu'il n'existe pas de circuit dans la memoire 
pour les ecrire dans I'autre etat. 

[0010] II est apparu necessaire, pour securiser les 

40 operations de personnalisation, que le code d'acces a 
la fonction de supervision ou plus generalement a une 
fonction de personnalisation de la carte, soit secret et 
ne soit communique qu'avec certaines precautions au 
prestataire. En pratique, on s'est par exemple arrange 

45 pour que les cartes a puce arrivent dans la possession 
du prestataire par un moyen de transport, par exemple 
un camion de livraison, alors que les codes d'acces se- 
crets d'acces arrivent a ce prestataire par un autre che- 
min, par exemple par la poste. Pour la personnalisation, 

50 |e prestataire attribue a chaque carte un code secret 
d'acces. Par exemple il effectue la correspondance car- 
te-code d'acces en recherchant dans une liste les nu- 
meros de serie des cartes a puce et en trouvant les co- 
des secrets indiques en regard de ces numeros de se- 

55 rie. 

[0011] II est connu par ailleurs que les codes d'acces 
ne soient meme pas utilisables tels quels, lis sont alors 
chiffres et le prestataire doit utiliser une machine de de- 
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chiffrement pour pouvoir disposer, pour chaque carte in- 
dividuellement, de son code d'acces en supervision. La 
machine de dechiffrement fait de son cote I'objet d'une 
convention entre le fabricant et le prestataire. 
[0012] On concoit que ce systeme, tout en etant se- 
curise et dicte par I'experience, ne soit pas favorable a 
une diffusion massive des cartes a puce. II n'est par 
exemple pas envisageable qu'une petite societe, par 
exemple gestionnaire d'un parking municipal, adopte 
une maniere de faire aussi compliquee pour mettre a la 
disposition de peu d'utilisateurs un service dont elle peut 
avoir par ailleurs une possibility d'empecher les abus en 
cas de deterioration du systeme. De ce fait, ces presta- 
taires utilisent des procedes ou les informations d'auto- 
risation ou d'utilisation du service sont memorisees 
dans des cartes magnetiques, bien plus faciles a pro- 
grammer. L'inconvenient de ces cartes magnetiques est 
evidemment qu'elles sont, de ce fait meme, tres f ragiles 
vis a vis de la fraude et que ces systemes ne sont vrai- 
ment pas suffisamment resistants. 
[001 3] Dans I'invention, on a cherche a mettre a la dis- 
position des prestataires, prestataires quelconques no- 
tamment des petites societes, des cartes a puce avec 
toute la securite que ces cartes a puce comportent, sans 
avoir a imposer a ces prestataires de rentrer dans une 
relation privilegiee avec un fabricant, sans avoir a sup- 
porter les contraintes des series de cartes pour lesquel- 
les en principe des machines de chiffrement ou dechif- 
frement des codes secrets sont prevues. Le but de I'in- 
vention est de permettre la vente de cartes a puce vier- 
ges, a I'unite, avec une possibility de programmation 
complete par I'utilisateur-prestataire sans avoir de 
compte a rendre a qui que ce soit. Mais en profitant bien 
entendu de la securite d'acces en programmation. 
[0014] Selon I'invention, on atteint ce but d'une facon 
tres simple. On a prevu que, tout simplement, le code 
d'acces a une fonction de supervision de la carte sera 
d'une part contenue dans la carte, et d'autre part edite 
lors d'une premiere liaison, ou lors de premieres liaisons 
de la carte avec un terminal de lecture de cette carte. 
Ce faisant, ce code secret est ainsi edite et peut etre 
disponible au profit du prestataire. Celui-ci profite de 
I'apparition fugitive de cette edition pour le noter par 
ailleurs et le reutiliser par la suite pour personnaliser sa 
carte aussi souvent qu'il le veut. 

[001 5] On concoit immediatement qu'un utilisateur de 
carte veuille alors etre capable de modifier lui-meme sa 
propre carte, en lieu et place du prestataire precedent, 
pour y incorporer ou non les services d'un ou de plu- 
sieurs prestataires, societe de gestion de parking, so- 
ciete de gestion d'une salle de cinema, ainsi de suite. 
De ce fait I'utilisateur gerera I'aspect multi-utilisation de 
sa carte a puce. Bien entendu, les possibilites offertes 
a I'utilisateur lui-meme peuvent egalement etre offertes 
au prestataire qui peut acheter de cette facon un lot de 
cartes et les programmer en consequence. Selon I'in- 
vention, seul peut modifier la potentiality de la carte celui 
qui dispose du code d'acces en supervision-personna- 



lisation. La supervision peut ainsi etre plus restreinte 
qu'une personnalisation notamment si, en personnali- 
sation, on autorise une partition de la memoire, alors 
qu'en supervision on n'autorisera qu'une utilisation de 
5 partitions deja formees. 

[0016] L'invention a done pour objet, un procede de 
personnalisation d'une carte a puce dans lequel 

on munit la carte a puce d'une fonction de supervi- 
se sion, 

on protege I'acces a cette fonction par une verifica- 
tion d'un code d'acces, 

on relie un terminal de commande a la carte a puce, 
et 

15 - on met en oeuvre la fonction de supervision pour 
personnaliser la carte a puce, 

caracterise en ce que 

20 - on teste une liaison de la carte a puce au terminal 
pour savoir s'il s'agit d'une premiere liaison, et 
si e'est une premiere liaison, on revele un code d'ac- 
ces de supervision de la carte a puce. 

25 [0017] L'invention sera mieux comprise a la lecture de 
la description qui suit et a I'examen des figures qui I'ac- 
compagnent. Celles-ci ne sont donnees qu'a titre indi- 
catif et nullement limitatif de l'invention. Les figures 
montrent: 

30 

Figure 1 : une carte a puce et un terminal de lecture 
de cette carte a puce utilisable pour mettre en 
oeuvre le procede de l'invention, 
Figure 2 : les principales etapes du procede de I'in- 
55 vention, 

Figure 3 : une representation schematique d'un 
perfectionnement du procede selon l'invention. 

[0018] La figure 1 montre une carte a puce 1 et un 
40 lecteur 2 de cartes a puce utilisable pour mettre en 
oeuvre le procede de l'invention. La puce de la carte 1 
comporte d'une maniere classique, un microprocesseur 

3 en relation par I'intermediaire d'un ou de plusieurs bus 

4 de commande, d'adresses, et de donnees, avec une 
45 interface d'entree sortie 5 (par exemple tout simplement 

un connecteur normalise), une memoire de travail 6, 
une memoire programme 7, une memoire de donnees 
8 et une memoire 9 contenant le systeme d'exploitation. 
[0019] D'une maniere habituelle, la memoire 6 sera 

50 constitute de registres volatiles munis de cellules me- 
moires de type statique (eventuellement dynamique). 
Les memoires 7 et 8 seront normalement des memoires 
non volatiles, programmables, au moins pour une partie 
de leur contenu. Elles seront constitutes par exemple 

55 a base de cellules memoires non volatiles du type EE- 
PROM avec un transistor a grille flottante dans le dis- 
positif de memorisation. La memoire 9 qui comporte le 
systeme d'exploitation, sera normalement une memoire 



10 



15 



30 



3 



5 



EP 0 957 461 A1 



6 



non volatile obtenue par masquage. Elle peut nean- 
moins etre une memoire du type PROM qui peut etre 
programmee mais pas effacee. Eventuellement, la me- 
moire 9 pourra n'etre qu'une sous-partie, avec un adres- 
sage particulier, de la memoire 7, de la memoire 8 ou 
de I'ensemble de ces deux-la. 

[0020] La memoire 9 comporte une partie 10 du sys- 
teme d'exploitation permettant les acces les plus puis- 
sants dans le systeme represents. La memoire 9 peut 
comporter parailleurs, une partie 11 de supervision dont 
la potentiality peut etre limitee par rapport a celle de la 
partie 10. En pratique les parties 10 et 11 ne sont pas 
geographiquement individualisees dans la memoire 9. 
Les instructions qui y sont enregistrees subissent des 
filtrages realises par les circuits du microprocesseur qui 
autorise ou non leur execution. En pratique, les instruc- 
tions utilisables en supervision sont des macro-instruc- 
tions des instructions du systeme d'exploitation : leur 
nombre est cependant limite et la nature meme de ces 
macro-instructions limite le mode de supervision. II se- 
rait neanmoins envisageable de disposer d'un mode de 
supervision qui donne acces a toutes les fonctions du 
systeme d'exploitation de base. 

[0021] D'une maniere preferee envisagee dans I'in- 
vention, les fonctions de supervision du systeme d'ex- 
ploitation seront des fonctions avec lesquelles il sera 
possible d'ecrire ou d'effacer dans la memoire 7 de pro- 
gramme, alors que, normalement, ceci n'est pas permis 
a un utilisateur. Elles seront egalement des fonctions 
avec lesquelles il sera possible de determiner des allo- 
cations dans la memoire de donnees 8, notamment par 
des adresses de depart et de fin Ai, Aj et Ak pour des 
donnees relatives a des applications A ou B et corres- 
pondant a des programmes PA et PB stockes dans la 
memoire 7. 

[0022] La memoire 8 comporte, notamment dans une 
partie 12 dans laquelle on ne peut pas ou plus, ecrire : 
le numero de serie de la carte, le code fabricant, le code 
identite ou autres, ainsi qu'un jeu de codes d'acces dans 
une zone 13 de la partie 12. Hormis cette zone 13, les 
autres zones sont optionnelles dans I'invention. 
[0023] La carte a puce 1 est destinee a etre mise en 
relation avec un lecteur 2 dont la structure fonctionnelle 
interne est sensiblement la meme que celle de la carte 
1. En outre, le lecteur 2 possede un jeu de boutons de 
commande 14 et un ecran de visualisation 15 avec les- 
quels on peut controler et afficher des commandes per- 
mettant la transaction avec la carte. Le lecteur 2, selon 
I'invention, sera au minimum un lecteur elementaire. 
Dans un exemple, le lecteur 2 sera un lecteur du type 
lecteur de controle du nombre d'unites telephoniques 
encore disponibles dans une carte telephonique (qui est 
une simple carte a memoire). Dans la pratique, il s'agira 
plus vraisemblablement d'un micro-ordinateur avec le- 
quel le prestataire ou I'utilisateur personnalisera la carte 
a puce. 

[0024] La figure 2 montre les etapes essentielles du 
procede de I'invention. Au cours d'une premiere etape 



1 6, la carte a puce est connectee au connecteur du lec- 
teur 2. II s'ensuit un certain nombre d'operations, nor- 
malement gerees par le systeme d'exploitation 10, con- 
sistant a verifier que la mise sous tension du circuit in- 

5 tegre est correcte, que la tension d'alimentation est cor- 
recte, que la frequence produite par I'horloge interne du 
microprocesseur 3 est correcte, et ainsi de suite. Une 
fois que ces operations purement physiques ont ete lan- 
cees, I'operation de connexion se poursuit generale- 

to rnent par une operation 1 7 de reconnaissance. L'opera- 
tion 17 de reconnaissance est une operation classique 
qui consiste a demander a un operateur, le prestataire 
ou un utilisateur, de composer un code secret. Cette 
composition de code secret est comparee par le micro- 

15 processeur 3 a un des codes secrets stockes en zone 
1 3. La comparaison est complexe et comporte genera- 
lement le chiffrement du code presente par un algorith- 
me de type DES ou RSA parametre par une clef de ses- 
sion. Pour la simplicity de I'explication on peut nean- 

20 moins admettre que la comparaison est directe. 

[0025] Si cette comparaison est positive, la suite des 
operations peut se derouler. Sinon, le microprocesseur 
se branche sur une instruction du systeme d'exploitation 
qui ne peut que provoquer I'echec de la transaction et 

25 qui refuse toute autre intervention. En general, le nom- 
bre d'echec est comptabilise, et au bout d'un nombre 
limite d'echecs, par exemple trois, le systeme d'exploi- 
tation 10 provoque le basculement d'une information 
dans la zone 1 3 de code d'acces pour verrouiller la car- 

30 te. 

[0026] Le programme de verification du code secret 
peut etre contenu dans la partie 1 0 du systeme d'exploi- 
tation 9. Eventuellement, il pourrait etre stocke dans une 
partie de la memoire 7 mais cela necessiterait par 

55 ailleurs, de bloquer I'acces a cette partie de memoire. 
[0027] Lorsque la reconnaissance a ete reussie, dans 
la mesure ou elle a ete lancee parce qu'elle n'est pas 
necessaire a I'invention, le microprocesseur 3 se met 
en une operation 18 en attente d'ordre. En definitive, il 

40 attend un message provenant du lecteur 2. Si le mes- 
sage qui provient du lecteur 2 est un message de re- 
quete de supervision ou un message analogue tendant 
a faire executer par le microprocesseur 3 les macro-ins- 
tructions de la partie 11 du systeme d'exploitation 9, on 

45 se trouve dans une configuration ou I'utilisateur ou le 
prestataire veut personnaliser la carte. Aussi, dans un 
test 1 9, apres la phase 1 8 d'attente d'ordre, le micropro- 
cesseur 3 cherchera a savoir si I'ordre qu'il recoit est un 
ordre de supervision de la carte ou non. Si ce n'est pas 

50 le cas, une suite du traitement sera lancee dans une 
operation 20. Cette suite comporte d'autres tests et 
d'autres operations. 

[0028] Par contre, si c'est le cas, dans I'invention le 
microprocesseur 3 en execution d'instructions specifi- 
cs ques de son systeme d'exploitation 9, lancera un 
deuxieme test 21. Le test 21 a pour objet de savoir si 
I'acces en mode supervision de la carte est effectue 
pour la premiere fois ou non. Si ce n'est pas la premiere 
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fois, le systeme Sexploitation 10 demandera, en une 
operation 22, a I'operateur d'indiquer le code secret 
d'acces en mode supervision (qui est different normale- 
ment du code secret de reconnaissance generale de 
I'etape 17). Si cette reconnaissance se produit avec 
succes, le mode de supervision est ouvert dans une sui- 
te 23 d'operations. Comme indique precedemment, cet- 
te suite d'operations 23 pourra comporter un telechar- 
gement d'une application PB dans la memoire 7. Ce te- 
lechargement peut etre effectue a titre d'essai. II pourra 
comporter une activation definitive d'une application qui 
aura ete telechargee provisoirement. II pourra compor- 
ter par ailleurs, la modification d'une application PA exis- 
tante. Ce type d'operation est connu dans I'etat de la 
technique. 

[0029] Par contre, si I'acces en mode de supervision 
est effectue pour la premiere fois, la partie 10 du syste- 
me d'exploitation 9 specifique a I'invention va lancer une 
macro-instruction 24. La macro-instruction 24 comporte 
deux parties essentielles. 

[0030] Premierement, elle va provoquer la revelation, 
notamment, I'edition, du code d'acces en supervision. 
Par exemple, cette macro-instruction consistera a aller 
lire dans la zone 1 3 le code d'acces en supervision (ou 
en personnalisation) et a I'afficher sur I'ecran 15 du lec- 
teur 2. Dans ce cas I'operateur doit noter et conserver 
par-devers lui, le code secret d'acces edite. Au besoin, 
on pourra prevoir que cette edition resulte en une ins- 
cription de ce code d'acces dans un fichier contenu dans 
la memoire 8 ou dans le lecteur 2. Par la suite, I'opera- 
teur pourrait acceder aussi souvent qu'il le voudrait a ce 
fichier pour connaitre son code d'acces en supervision 
(de programmation en personnalisation de la memoire 
7 et de la memoire 8). 

[0031] A Tissue de I'operation 24, etant donne que 
maintenant I'operateur dispose du code secret d'acces, 
il pourra lancer a nouveau Instruction 22 et la suite des 
operations 23 comme vu ci-dessus. 
[0032] La macro-instruction 24 comporte par ailleurs, 
une deuxieme partie essentielle de comptage. En effet, 
poursavoir si I'acces en supervision a deja ete effectue, 
il faut I'avoir prealablement compte. Aussi, dans la 
macro-instruction 24, organ isera-t-on un comptage. Ce 
comptage peut etre limite a un. Dans ce cas, on ne peut 
avoir acces qu'une seule fois par le test 21 a la macro- 
instruction 24 qui provoque I'edition du code d'acces en 
supervision. Par contre, si le comptage est plafonne a 
une valeur N, le test 21 lancera la macro-instruction 24 
tant que le comptage n'aura pas atteint cette valeur N. 
Le resultat du comptage effectue par la macro-instruc- 
tion 24 sera par exemple stockee dans la memoire 8 
dans une zone 1 3 protegee. Pour resister a la fraude, il 
est preferable que I'operation de comptage soit pream- 
ble a I'operateur d'edition. En effet, en agissant ainsi, on 
evite de donner plus d'acces en supervision que prevu. 
II est connu en effet que les fraudeurs tentent de retirer 
les cartes 1 des lecteurs 2 des qu'ils ont acquis I'infor- 
mation qui les interesse, avant que cette acquisition ne 



leur soit comptee. Dans I'invention on evite cette prati- 
que en comptabilisant I'edition avant meme de la lancer. 
[0033] Tel qu'on I 'a decrit, le test 21 est successif a un 
test 19 au cours duquel on cherchait a savoir si I'inter- 

5 vention de I'operateur etait une demande de mise en 
oeuvre d'un mode de supervision de la carte a puce ou 
non. Ce mode est un mode prefere. Cependant, il pour- 
rait etre envisage que le test 21 soit lance directement 
apres la phase 16 de connexion. Dans ce cas, I'opera- 

10 tion 24 editerait le code secret d'acces en supervision, 
en fonction du comptage a N, meme si les velleites du 
prestataire ne sont pas a ce moment d'effectuer une per- 
sonnalisation de la carte. 

[0034] L'enchaTnement de la macro-instruction 22 sur 
15 la macro-instruction 24 pourra etre effectue soit en 
ayant une edition temporisee si le code secret d'acces 
en supervision X Y Z est montre fugitivement sur I'ecran 
15 du terminal 2, soit sous une forme positive en de- 
mandant un acquit (execute sous la forme d'un appui 
20 sur une touche de validation ou d'une touche entree) a 
I'operateur avant de passer a la macro-instruction 22. 
[0035] La figure 3 montre un mode prefere d'edition 
du code secret d'acces en supervision. De preference, 
ce code d'acces en mode supervision sera chiffre. Dans 
25 I'exemple, un algorithme de chiffrement 25 permettra au 
fabricant de modifier le code secret d'acces 26 en fonc- 
tion d'une cle privee 27 detenue par le fabricant et que 
ce dernier garde strictement confidentielle. De preferen- 
ce, I'operation de chiffrage 25 pourra comporter le chif- 
30 frage du code d'acces 26, du numero de serie 28 de la 
carte, ainsi que de celui du code ou du nom du fabricant 
29. Le mot code chiffre, et qui est stocke dans le registre 
1 3 par le fabricant, comporte done d'une maniere impli- 
cite une information de code d'acces, ('information de 
55 numero de serie, et/ou ('information de references du 
fabricant. 

[0036] De ce fait, I'edition ultime du code secret pro- 
voque au cours de la macro-instruction 24, presentera 
un code d'acces 30 chiffre. Dans ce code d'acces chiffre, 
40 |e code d'acces lui-meme, X Y Z, peut apparaTtre en 
clair. Mais il peut aussi etre suivi ou precede d'une suite 
de caracteres resultant du chiffrage par I'algorithme 25. 
Ou bien, le code d'acces X Y Z sera lui-meme chiffre et 
n'apparaitra pas en clair. Dans ce cas, son edition 31 
45 ne permettra pas de determiner, en elle-meme, le code 
d'acces de supervision. 

[0037] Dans ce dernier cas, dans une machine 32 de 
dechiffrage, on mettra en oeuvre un algorithme de de- 
chiffrage du contenu de ce qui a ete edite a I'instruction 
50 24 (le code 30 avec le code X Y Z en clair et les carac- 
teres supplementaires, ou le code 31 chiffre). Ce dechif- 
frage sera lui-meme parametre par une cle publique 33. 
La cle publique 33 est associee a la cle privee 27. Elle 
permet selon le code 30 ou le code 31 introduit, de pro- 
55 duire un message de coherence 34 ou le code d'acces 
en mode de supervision 35, lui-meme en clair, respec- 
tivement. 

[0038] Par exemple, le message de coherence 34 
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pourra comporter la revelation du norm du fabricant. 
Dans la mesure ou ce fabricant est un fabricant connu, 
et ou par exemple son nom apparait sur un graphisme 
imprime sur la carte a puce, le prestataire ou plus ge- 
neralement I'utilisateur peut authentifier la provenance 
de la carte a puce qu'il a achetee et non pas se satisfaire 
seulement du graphisme apparent sur la carte. En effet, 
il faut absolument empecher que des systemes d'exploi- 
tation 1 0, imagines par des escrocs, puissent provoquer 
a un moment donne, la communication (notamment par 
des voies de communication en transmission) de codes 
secrets de carte. Cette communication permettrait ainsi 
a ces escrocs de les utiliser frauduleusement. Ainsi, si 
le nom du fabricant 29 a ete chiffre par la cle privee 27 
dans I'algorithme 25, ce nom apparaTt, d'une maniere 
implicite, dans les messages 30 ou 31 . Le dechiffrement 
par la cle publique 33 dans la machine 32 provoquera 
I'edition du nom du veritable fabricant. II est evident 
qu'un fraudeur, s'il ne possede pas la bonne cle privee, 
ne peut stocker dans la carte que des messages 30 ou 

31 incoherents. L'utilisateur ou le prestataire qui se pro- 
cure alors la cle publique, par exemple par connexion 
sur le site Internet du fabricant, ne verra pas apparaitre 
le nom du fabricant que cette cle publique devrait per- 
mettre de reveler. En effet cette clef publique ne va pas 
correspondre a la cle privee utilisee par le fraudeur puis- 
que celui-ci ignore la clef privee secrete detenue par le 
fabricant. En outre, si au lieu de provoquer I'edition d'un 
message 30 comportant le code d'acces en clair, I'algo- 
rithme 25 provoque I'edition d'un message 31 dans le- 
quel le code d'acces est chiffre, le code qu'il finira par 
obtenir dans le message 35, n'aura aucune raison de 
convenir a la carte concemee. Celle-ci sera done per- 
due. 

[0039] La mise en oeuvre de I'algorithme 25 est effec- 
tuee chez le fabricant. La mise en oeuvre du dechiff rage 

32 peut etre effectuee dans le lecteur 2. En variante, 
elle peut etre effectuee par le microprocesseur 3 qui li- 
rait alors les instructions necessaires a cet algorithme 
32 dans la partie 10 de la memoire 9 du systeme d'ex- 
ploitation. Les algorithmes 25 et 32 peuvent parailleurs 
ne pas concemer du tout le code d'acces. Ainsi un fa- 
bricant connu peut livrer des paires message a chiffrer 
- message en clair. Si la carte est une carte authentique, 
si elle comporte I'algorithme 32 du fabricant, le dechif- 
frage du message a chiffrer donnera le message en 
clair. L'utilisateur pourra alors se convaincre que sa car- 
te est authentique. Afin de ne pas fragiliser I'algorithme 
vis-a-vis de son decryptage, le nombre de paires pourra 
etre limite. En variante, les operations de la figure 3 peu- 
vent etre faites en dehors de la carte, par exemple sur 
un site Internet. 

[0040] Au besoin, comme pour les codes de recon- 
naissance, le code d'acces en supervision peut etre mo- 
difie par l'utilisateur a sa convenance. De plus, lorsque 
le code d'acces est edite dans un fichier, on peut effec- 
tuer un verrouillage de ce fichier, pour en interdire defi- 
nitivement I'acces ou pour autoriser I'acces a ce fichier 
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Revendications 

5 

1 . Procede de personnalisation d'une carte (1 ) a puce 
dans lequel 

on munit la carte a puce d'une fonction (11 ) de 
10 supervision, 

on protege (22) I'acces a cette fonction par une 
verification d'un code d'acces, 
on relie un terminal (2) de commande a la carte 
a puce, et 

15 - on met en oeuvre (11) la fonction de supervi- 
sion pour personnaliser la carte a puce, 

caracterise en ce que 

20 - on teste (21 ) une liaison de la carte a puce au 
terminal pour savoir s'il s'agit d'une premiere 
liaison, et 

si e'est une premiere liaison, on revele (24) un 
code d'acces de supervision de la carte a puce. 

25 

2. Procede selon la revendication 1 , caracterise en ce 
que, pour le test de la liaison de la carte a puce au 
terminal, 

30 - on appelle avec le terminal une fonction de su- 
pervision de la carte a puce, 
on teste I'appel (19) de la fonction de supervi- 
sion pour savoir s'il s'agit d'un premier appel de 
cette fonction de supervision, et 
35 - si e'est un premier appel, on edite le code d'ac- 
ces de supervision. 

3. Procede selon I'une des revendications 1 a 2, ca- 
racterise en ce que 

40 

on compte le nombre de premieres liaisons, et 
on cesse d'editer le code d'acces lorsque ce 
nombre atteint une valeur donnee (N) preenre- 
gistree (13) dans la carte. 

45 

4. Procede selon la revendication 3 caracterise en ce 
que 

on comptabilise prealablement le nombre de 
50 premieres liaisons puis on edite le code d'acces 

lorsque le nombre comptabilise est inferieur a 
la valeur preenregistree. 

5. Procede selon I'une des revendications 1 a 4, ca- 
55 racterise en ce que 

on edite le code d'acces (X Y Z) sur un ecran 
(15) du terminal. 
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6. Procede selon Tune des revendications 1 a 5, ca- 
racterise en ce que 

on edite le code d'acces dans un fichier de la 
carte a puce et ou du terminal. 5 

7. Procede selon la revendication 6, caracterise en ce 
que 

on verrouille I'acces au fichier apres consulta- 10 
tion. 

8. Procede selon Tune des revendications 1 a 7, ca- 
racterise en ce que 

15 

on chiffre le code d'acces de supervision pour 
en constituer une coherence 
et on le dechiffre apres edition pour en verifier 
la coherence. 

20 

9. Procede selon Tune des revendications 1 a 8, ca- 
racterise en ce que 

on met en oeuvre la fonction de supervision, et 

on modifie le code d'acces. 25 

10. Procede selon I'une des revendications 1 a 9 carac- 
terise en ce que 

on compose (14) avec le terminal un code d'ac- 30 
ces a cette fonction de supervision, et, en cas 
de succes, 

on met en oeuvre la fonction de supervision 
pour personnaliser la carte. 

35 
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